电脑知识|欧美黑人一区二区三区|软件|欧美黑人一级爽快片淫片高清|系统|欧美黑人狂野猛交老妇|数据库|服务器|编程开发|网络运营|知识问答|技术教程文章 - 好吧啦网

您的位置:首頁技術文章
文章詳情頁

打造安全的Windows 2003系統(tǒng)(上)

瀏覽:10日期:2023-10-16 10:15:46
本文主要知識點: Windows 2003安全配置、NTFS系統(tǒng)、加密文件系統(tǒng)(EFS)、 系統(tǒng)服務等。

前言:

2003年5月22日,微軟的新一代操作系統(tǒng)Windows Server 2003中文版開始在國內(nèi)發(fā)行。從Windows95一路用到現(xiàn)在,筆者覺得微軟在安全方面做的還算是說的過去的,雖然說漏洞很多。2003總體感覺上安全做的還不錯,交互式登錄、網(wǎng)絡身份驗證、基于對象的訪問控制、比較完整的安全策略、數(shù)據(jù)加密保護……筆者這里要談的是如何通過安全的配置,使Windows Server 2003安全性大大加強。

一、安裝過程中的安全問題

1.NTFS系統(tǒng)。

老生長談的話題了。NTFS系統(tǒng)為一種高級的文件系統(tǒng),提供了性能、安全、可靠性以及未在任何FAT格式版本中提供的高級功能,通過它可以實現(xiàn)任意文件及文件夾的加密和權(quán)限設置(這是最直觀的安全設置了),磁盤配額和壓縮等高級功能。通過它,你還可以更好的利用磁盤空間,提高系統(tǒng)運行速度……自WindowsNT系統(tǒng)以來,使用NTFS系統(tǒng)已經(jīng)逐漸成了一種共識。為了體驗NTFS系統(tǒng)帶來的這些免費的優(yōu)惠,筆者特意把硬盤所有分區(qū)都轉(zhuǎn)成了NTFS系統(tǒng)。如果你在安裝時不選用NTFS系統(tǒng),那么后面的很多安全配置如用戶權(quán)限設置等你將都不能實現(xiàn)。

2.安裝過程中有關安全的提示。

在安裝過程中需要輸入Administrator密碼,新的Windows Server 2003提供了一個比較成熟的密碼規(guī)則,當你輸入的密碼不符合規(guī)則時,就會以圖片形式出現(xiàn)如下提示(由于安裝未完成,不能抓圖,請諒解。內(nèi)容已經(jīng)抄下來了):

您已經(jīng)指定的管理員帳戶的密碼不符合密碼的條件,建議使用的密碼應符合下列條件之中的前二個及至少三個:

- 至少6個字符 - 不包含'Administrator'或'Admin' - 包含大寫字母(A、B、C等等) - 包含小寫字母(a、b、c等等) - 包含數(shù)字(0、1、2等等) - 包含非字母數(shù)字字符(#、&、~等等) 您確定要繼續(xù)使用當前密碼嗎?

之所以說是“比較成熟”的密碼規(guī)則,因為就算你的密碼設置不符合此規(guī)則也能照樣順利進行下一步安裝,這就為以后的系統(tǒng)安全埋下了隱患。但總的來說,有了這一規(guī)則就已經(jīng)很不錯了,以前的版本沒有,就出現(xiàn)了N多空密碼的很快淪為肉雞的機器。相信有了這一提示后,可以在很大程度上減小這種現(xiàn)象。

3.在完全配置完成后不要把機器接到網(wǎng)絡中(包括局域網(wǎng)),因為這時候你滿的漏洞的機器隨時等候別人的“照顧”,只要有人連接上來,就是Admin權(quán)限。這一點相信了解安全的朋友都知道。

在整個安裝過程中需要注意的基本就這么多了。另外,不知道大家有沒有注意到,按默認安裝后,系統(tǒng)根目錄下多出來一個0字節(jié)的wmpub文件夾,里面又有一個0字節(jié)的wmiislog文件夾。后來發(fā)現(xiàn)有一個不明程序在使用這個wmiislog文件夾,但到底是什么程序,有什么用途用還不清楚,不知道是否和安全有關,能否被利用。請知道的朋友告知一聲。

二、初級安全配置

1.關閉默認的磁盤共享,修改組或用戶對磁盤的控制權(quán)限。

安裝完成后,默認是共享了所有硬盤分區(qū)的,還包括提供遠程IPC和遠程管理的兩個共享:IPC$和ADMIN$,這就為以后的系統(tǒng)安全埋下了隱患,圖1。解決這個問題有很多辦法,這里介紹一種簡單可行的解決方案。從“計算機管理”里打開“服務”(或者在運行里鍵入Services.msc回車),在里面找到Server服務,雙擊打開其屬性,并設置為“禁用”即可,圖2。Server服務是系統(tǒng)默認的和共享有關的服務,支持計算機通過網(wǎng)絡的文件、打印和命名管道共享,禁用此服務后,一切基于此服務的其他服務也同時被禁止,包括Computer Browser和Distributed File Sysetm兩個服務。前一個服務是Windows Server 2003的新服務,利用它可以把分散的共享合并成一個邏輯名稱空間并在網(wǎng)絡上管理這些邏輯卷,這能大大方便用戶使用和管理那些分散的共享。后一個服務用來維護網(wǎng)絡上計算機的更新列表,并將列表提供給計算機指定瀏覽,如果停止此服務,則列表就不會被更新或維護。當禁用Server服務后,這兩個服務就不能使用。

圖 1 圖 2

另外,默認Everyone組用戶對所有共享擁有完全的控制權(quán),這也是非常危險的,任何人只要訪問共享,就可以完全控制此共享,這當然是不符合安全要求的,圖3。解決的辦法也很簡單,修改共享的安全屬性,刪除Everyone組或修改其訪問權(quán)限即可。首先在共享上點右鍵打開其屬性,在“安全”標簽里可以看到此時可以訪問此共享的組或用戶情況,圖3,下面的框顯示的是被選中組或用戶所擁有的權(quán)限。這里可以看到Everyone組擁有完全控制權(quán)。現(xiàn)在我們可以根據(jù)自己的實際情況來配置里面的組或用戶擁有的權(quán)限。如果繼續(xù)允許Everyone組用戶訪問,則必須從新設置其訪問權(quán)限,只需要把“允許”里的權(quán)限后面的方框里的鉤去掉即可。如果要刪除Everyone組,則單擊“刪除”即可。如果需要新添加用戶或組,使其也可以訪問此共享,單擊“高級”按鈕進入高級安全設置,如圖4。再單擊“添加”進入用戶選擇,單擊“高級”,選擇“立即查找”就可以找到此計算機上所有的用戶和組,圖5。這里以Users組為例介紹。首先找到并選中Users組,單擊“確定”進入權(quán)限設置,圖6,這里就可以為Users組用戶選擇共享的權(quán)限,完了確定即可。這時候,Users組用戶也可以訪問此共享,并且擁有為其設置好的權(quán)限。

圖 3 圖 4 圖 5 圖 6 2.修改組或用戶的訪問權(quán)限,達到需要的安全要求。

由于在安裝時使用了NTFS系統(tǒng),我們可以對任何文件及文件夾進行權(quán)限設置,使得各組和用戶對某一文件或文件夾的控制權(quán)不同。通過這樣的配置就能達到一定的安全要求。這里以Tools文件夾為例介紹如何具體配置其安全屬性。首先點右鍵打開其屬性,選擇“安全”標簽,可以看到目前可訪問此文件夾的所有用戶,圖7。作為系統(tǒng)管理員,當然是擁有完全控制的權(quán)限了,但其他用戶或組就不一定要為其分配這么高的權(quán)限,這不符合安全配置的原則,所以就得修改。仍以Users組為例介紹。單擊“添加”選擇用戶和組,圖8,單擊“高級”,再單擊“立即查找”即可找到當前計算機的所有用戶和組,圖5。選擇Users組后確定。可以看到此時能訪問該文件夾的用戶個組除了原來的Administrator還多了一個Users組用戶,圖9。這里默認權(quán)限為讀取和運行、列出文件夾目錄和讀取。根據(jù)不同的安全要求可以為新加的Users組用戶配置其權(quán)限。當然你也可以直接按“刪除”把你想要刪除的用戶或組從列表中刪除,這樣他就不在有訪問此文件夾的權(quán)限。

圖 7 圖 8 圖 9

需要注意的幾點:

* 此權(quán)限設置是基于NTFS系統(tǒng)的,F(xiàn)AT格式的磁盤不能進行權(quán)限設置。 * 對某一文件的安全配置和對文件夾的安全配置完全一樣,從文件的屬性里配置就行了。 * 如果完全刪除了某一文件或文件夾的所有用戶或組,會出現(xiàn)圖10的提示,如果確定,此文件或文件夾就不可訪問,無論你的身份有多高,圖11。只有以Admin身份登錄,從新配置其安全屬性,為其添加新的用戶或組。

圖 10 圖 11

可以看出,通過對文件或文件夾的安全配置,即可達到對任意文件或文件夾的訪問權(quán)限控制,從而滿足不同的安全需求。

3.利用加密文件系統(tǒng)(EFS),加密文件或文件夾。

Windows Server 2003支持利用EFS技術對任意文件或文件夾進行加密,這是一種核心的文件加密技術,基于NTFS系統(tǒng),只有NTFS系統(tǒng)的磁盤才能使用此技術。加密后的文件或文件夾就不可被除此用戶以外的任何用戶訪問,而無論你的身份有多高。這樣就能更好的保護自己的敏感數(shù)據(jù)和重要文件。下面以Tools文件夾加密為例介紹。首先右鍵打開其屬性,在“常規(guī)”標簽里“選擇“高級”選項進入高級屬性,圖12,將“加密內(nèi)容以便保護數(shù)據(jù)”框選中并確認,圖13。確定后會出現(xiàn)圖14所示的選項。如果選擇上面一項,則只加密此文件夾,其他用戶雖然不能直接訪問此文件夾,但可以通過其他途徑如直接鍵入完整路徑來訪問里面的內(nèi)容;如果選擇下面一項,則此文件夾內(nèi)所有的文件和文件夾都將被加密。

圖 12 圖 13 圖 14

使用加密文件系統(tǒng)需要注意以下幾點:

* 只有在NTFS系統(tǒng)上才支持數(shù)據(jù)加密,如果被加密的數(shù)據(jù)被移動到FAT格式的磁盤上,則會自動解密。 * 將非加密的數(shù)據(jù)移動到已加密的文件夾中,則會被自動加密,而且此過程是不可逆的,即把已加密的文件夾中數(shù)據(jù)移動到此文件夾外,數(shù)據(jù)不會自動解密。 * 無法加密系統(tǒng)文件、已被壓縮過的數(shù)據(jù)和Systemroot文件夾(即安裝目錄的Windows文件夾)。 * 加密數(shù)據(jù)不能防止被刪除或列出目錄,具有訪問權(quán)限的組或用戶即可刪除或列出已加密數(shù)據(jù)的目錄。所以應結(jié)合組或用戶權(quán)限設置,進一步保護好數(shù)據(jù)安全。

4.通過“軟件限制策略”限制任意程序的使用。

在計算機的日常使用中,我們總是需要限制某些用戶執(zhí)行所有或部分程序,通過設置合理的規(guī)則可以鎖定系統(tǒng)所有或部分程序的運行。另一方面,隨著網(wǎng)絡、Internet以及電子郵件在日常生活中的使用日益增多,越來越多的病毒和木馬會故意進行偽裝來欺騙我們運行它們。而要做出安全的選擇來確定某個程序是否安全是非常困難的。“軟件限制策略”控制未知或不信任的軟件的運行需求,從而從一定程度上達到預防病毒和木馬的功效,為營造一個安全的環(huán)境提供了條件。接下來,筆者就介紹一下如何設置“軟件限制策略”。從“管理工具”里打開“本地安全設置”,在左側(cè)的窗口里,可以看見“軟件限制策略”,打開后里面包含兩個選項:“安全級別”和“其他規(guī)則”,圖15。

圖 15

在“安全級別”里,如果選擇了“不允許的”作為默認項,會出現(xiàn)一個提示框,圖16,確定后,系統(tǒng)會按新的規(guī)則將所有的可執(zhí)行程序設置為禁用,當試圖打開程序時會提示錯誤,圖17。這就達到了鎖定所有程序的目的。解鎖的辦法當然就是還原“不受限的”為默認項了。

圖 16 圖 17

在“其他規(guī)則”里,可以定義四種規(guī)則來滿足不同的需求:證書規(guī)則、哈希規(guī)則、Internet區(qū)域規(guī)則、路徑規(guī)則。這里以“路徑規(guī)則”來介紹,其他的用法和作用都基本一樣。首先在“其他規(guī)則”上點右鍵,選擇“新建路徑規(guī)則”,圖18。點“瀏覽”選好具體的文件夾,在安全級別里選擇“不允許的”,然后確定。這樣就達到了對所選的文件夾內(nèi)所有程序鎖定的目的。此時如果繼續(xù)運行此文件夾內(nèi)的任何程序都回提示錯誤,圖19。同樣在這里可以選擇某個具體的程序來鎖定。

圖 18 圖 19

介紹了基本的使用方法,但這并不能滿足所有的安全需求。有的時候,我們需要只能運行個別程序,硬盤上其他所有的程序都不能運行。如何達到這個目的呢?首先在“安全級別”里把“不允許的”設置為默認,再到“其他規(guī)則”里設置想運行的程序路徑,并設置安全級別為“不受限的”。這樣,除了新規(guī)則規(guī)定的程序以外,其他一切程序都不能運行。那么如何利用此規(guī)則做好病毒和木馬的防御工作呢?我們可以在“其他規(guī)則”里設置新規(guī)則,路徑指向郵件附件保存的路徑,然后把安全級別設置為“不允許的”即可。

另外,“軟件限制策略”和權(quán)限沒有關系,如果限制了某個程序不能執(zhí)行,無論你以何身份身份來運行都會提示不能運行。經(jīng)過處理后的程序?qū)h程登錄的用戶一樣適用。雖然設置適當?shù)陌踩?guī)則可以從一定程度上防御病毒和木馬的襲擊,但切不可把“軟件限制策略”當成防病毒軟件來使用,這只是緩兵之計。

主站蜘蛛池模板: 越南专线物流_东莞国际物流_东南亚专线物流_行通物流 | 彼得逊采泥器-定深式采泥器-电动土壤采样器-土壤样品风干机-常州索奥仪器制造有限公司 | 北京网络营销推广_百度SEO搜索引擎优化公司_网站排名优化_谷歌SEO - 北京卓立海创信息技术有限公司 | 云南外加剂,云南速凝剂,云南外加剂代加工-普洱澜湄新材料科技有限公司 | 信阳网站建设专家-信阳时代网联-【信阳网站建设百度推广优质服务提供商】信阳网站建设|信阳网络公司|信阳网络营销推广 | 砍排机-锯骨机-冻肉切丁机-熟肉切片机-预制菜生产线一站式服务厂商 - 广州市祥九瑞盈机械设备有限公司 | 游戏版号转让_游戏资质出售_游戏公司转让-【八九买卖网】 | 中空玻璃生产线,玻璃加工设备,全自动封胶线,铝条折弯机,双组份打胶机,丁基胶/卧式/立式全自动涂布机,玻璃设备-山东昌盛数控设备有限公司 | 铣刨料沥青破碎机-沥青再生料设备-RAP热再生混合料破碎筛分设备 -江苏锡宝重工 | 物流之家新闻网-最新物流新闻|物流资讯|物流政策|物流网-匡匡奈斯物流科技 | 深圳市索富通实业有限公司-可燃气体报警器 | 可燃气体探测器 | 气体检测仪 | 耐腐蚀泵,耐腐蚀真空泵,玻璃钢真空泵-淄博华舜耐腐蚀真空泵有限公司 | 山东臭氧发生器,臭氧发生器厂家-山东瑞华环保设备 | 澳威全屋定制官网|极简衣柜十大品牌|衣柜加盟代理|全屋定制招商 百度爱采购运营研究社社群-店铺托管-爱采购代运营-良言多米网络公司 | 真空乳化机-灌装封尾机-首页-温州精灌 | 环氧乙烷灭菌器_压力蒸汽灭菌器_低温等离子过氧化氢灭菌器 _低温蒸汽甲醛灭菌器_清洗工作站_医用干燥柜_灭菌耗材-环氧乙烷灭菌器_脉动真空压力蒸汽灭菌器_低温等离子灭菌设备_河南省三强医疗器械有限责任公司 | 喷砂机厂家_自动除锈抛丸机价格-成都泰盛吉自动化喷砂设备 | 变压器配件,变压器吸湿器,武强县吉口变压器配件有限公司 | 脱硝喷枪-氨水喷枪-尿素喷枪-河北思凯淋环保科技有限公司 | 对夹式止回阀厂家,温州对夹式止回阀制造商--永嘉县润丰阀门有限公司 | 交变/复合盐雾试验箱-高低温冲击试验箱_安奈设备产品供应杭州/江苏南京/安徽马鞍山合肥等全国各地 | 石家庄救护车出租_重症转院_跨省跨境医疗转送_活动赛事医疗保障_康复出院_放弃治疗_腾康26年医疗护送转诊团队 | 世纪豪门官网 世纪豪门集成吊顶加盟电话 世纪豪门售后电话 | 西门子伺服电机维修,西门子电源模块维修,西门子驱动模块维修-上海渠利 | 安德建奇火花机-阿奇夏米尔慢走丝|高维|发那科-北京杰森柏汇 | 颚式破碎机,圆锥破碎机,制砂机-新乡市德诚机电制造有限公司 | 化工ERP软件_化工新材料ERP系统_化工新材料MES软件_MES系统-广东顺景软件科技有限公司 | 闭端端子|弹簧螺式接线头|防水接线头|插线式接线头|端子台|电源线扣+护线套|印刷电路板型端子台|金笔电子代理商-上海拓胜电气有限公司 | 学习虾-免费的学习资料下载平台 雪花制冰机(实验室雪花制冰机)百科 | 高低温试验箱-模拟高低温试验箱订制-北京普桑达仪器科技有限公司【官网】 | 洛阳永磁工业大吊扇研发生产-工厂通风降温解决方案提供商-中实洛阳环境科技有限公司 | 汽车润滑油厂家-机油/润滑油代理-高性能机油-领驰慧润滑科技(河北)有限公司 | 苏州教学设备-化工教学设备-环境工程教学模型|同科教仪 | 高低温试验箱-模拟高低温试验箱订制-北京普桑达仪器科技有限公司【官网】 | 网站建设,北京网站建设,北京网站建设公司,网站系统开发,北京网站制作公司,响应式网站,做网站公司,海淀做网站,朝阳做网站,昌平做网站,建站公司 | 密封圈_泛塞封_格莱圈-[东莞市国昊密封圈科技有限公司]专注密封圈定制生产厂家 | 西安中国国际旅行社(西安国旅) | 注塑_注塑加工_注塑模具_塑胶模具_注塑加工厂家_深圳环科 | 湖北省煤炭供应链综合服务平台| 粘度计维修,在线粘度计,二手博勒飞粘度计维修|收购-天津市祥睿科技有限公司 | 不锈钢水箱厂家,不锈钢保温水箱-山东桑特供水设备 |